20:15
11/5/2014

Dość popularna usługa pozwalająca na skrócenie długiego URL-a poprosiła swoich użytkowników, aby zmienili hasła, zresetowali klucze API i tokeny OAuth. Bit.ly zostało zaatakowane …ale odmawia publikacji szczegółowych informacji na temat incydentu. Nie wiadomo więc, z jakiej podatności skorzystali włamywacze już wiadomo, szczegóły niżej.

Co można zrobić z czyimś kontem bit.ly?

Z pozoru wydawać by się mogło, że nawet jeśli ktoś przejmie czyjeś konto na bit.ly, to nic złego nie powinno się stać — najwyżej skasuje kilka linków. Bit.ly jest jednak często wykorzystywane do automatycznego skracania linków w sieciach społecznościowych (korzystają z niego także znane marki) — w tym celu użytkownicy często łączą swoje konta bit.ly z Facebookiem lub Twitterem, i to, czyli możliwość opublikowania treści na czyimś popularnym profilu na Facebooku lub Twitterze — jest w zasadzie największym zyskiem z ewentualnego przejęcia czyjegoś konta.

Do czego może doprowadzić niewinne twitnięcie? Pisaliśmy już o tym w kontekście fałszywej informacji na temat zamachu na prezydenta Obamę, która pojawiła się na przejętym koncie agencji Associated Press i spowodowała krach na giełdzie. Ofiarą żartownisi padły też fanki Justina Biebera, na którego Twitterze ktoś opublikował link do złośliwego oprogramowania.

Na chwilę obecną brak jakichkolwiek sygnałów, aby któreś z kont użytkowników bit.ly zostało przejęte i wykorzystane do dalszego ataku w sieciach społecznościowych. Jeśli jednak macie konto na bit.ly, na wszelki wypadek zmieńcie hasło — zwłaszca, że bitly nie ujawniło jak były hashowane hasła (a nawet użyło słowa “zaszyfrowane” co może sugerować, że skorzystano z kryptografii symetrycznej, podobnie jak było to w przypadku Adobe).

Jak doszło do włamania?

Jak informuje Bit.ly, o włamaniu dowiedzieli się od zewnętrznej firmy. Analiza wykazała, że intruz uzyskał dostęp do serwera z backupem bazy dzięki nieautoryzowanemu dostępowi do konta jednego z pracowników. Dopiero po tym fakcie Bit.ly zdecydowało się wdrożyć dwuskładnikowe uwierzytelnienie. Dodatkowo, z nowego posta dowiadujemy się, że hasła były jednak hashowane (BCrypt), a nie “szyfrowane”.

Przeczytaj także:

12 komentarzy

Dodaj komentarz
  1. Mialem identyczne haslo na allegro i konto na allegro tez przejete.

    • screen or didn’t happen

  2. Podali więcej szczegółów wczoraj: http://blog.bitly.com/post/85260908544/more-detail

  3. Na bit.ly nie można kasować linków

  4. Dlatego właśnie szyfruje się wszystkie backupy, np. przez GPG. Z automatu umożliwia to np. obnam. Na serwer zdalny wrzuca się już zaszyfrowane pliki a klucze GPG trzyma w bezpiecznym miejscu. Tym sposobem nawet jak ktoś dostanie się na serwer z backupami może sobie najwyżej zagwizdać ze szczęścia.

    • A co to ma z bit.ly wspólnego?

  5. Panowie, trwa atak na telefon, laptop i blog Korwina
    Pomóżcie chłopu jeśli sympatyzujecie z KNP.

    • Nie.

    • Tak.

    • Pomidor.

    • Nie.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.